# iPad - Aktualisierung der Zertifikate und Token

<table border="1" class="vobs-table" id="bkmrk-vorarlberger-standar" style="border-collapse: collapse; width: 100%; border-width: 0px; height: 79.0938px;"><colgroup><col style="width: 49.9543%;"></col><col style="width: 49.9543%;"></col></colgroup><tbody><tr style="height: 79.0938px;"><td style="border-width: 0px; height: 79.0938px;">Vorarlberger Standardschulinstallation  
Verfasser: Kuno Sandholzer</td><td class="align-right" style="border-width: 0px; height: 79.0938px;">© 2025 IT-Regionalbetreuer Vorarlberg  
6900 Bregenz, Römerstraße 14  
Alle Rechte vorbehalten

</td></tr></tbody></table>

## 1. Vorwort

Um die Zusammenarbeit des Apple School Managers mit Intune im Rahmen der iPad-Geräteverwaltung sicherzustellen, ist es notwendig, drei verschiedene Zertifikate bzw. Token regelmäßig zu aktualisieren.

Die Gültigkeit der Zertifikate bzw. Token beträgt jeweils ein Jahr. Der Einfachheit halber empfehlen wir, die Zertifikate bzw. Token zwei Mal im Jahr zu aktualisieren. Abgelaufene Zertifikate und Token können unter Umständen zu großen Problemen bei der Geräteverwaltung führen. Daher: better be safe than sorry.

Die Ersteinrichtung der Zertifikate und Token ist in der Anleitung "[iPad - Einrichtung des ASM mit Intune](https://docs.vobs.at/books/gerateinitiative-ipads/page/ipad-einrichtung-des-asm-mit-intune "iPad - Einrichtung des ASM mit Intune")" beschrieben. Dieses Dokument bezieht sich ausschließlich auf die Verlängerung bestehender Zertifikate bzw. Token.

Diese Kurzanleitung basiert auf der Dokumentation "[Einrichtung des ASM mit Intune](https://docs.vobs.at/books/gerateinitiative-ipads/page/ipad-einrichtung-des-asm-mit-intune "iPad - Einrichtung des ASM mit Intune")" von Andreas Renner (BD Vorarlberg) sowie der Dokumentation "Apple Token Erneuerung" von Andreas Steingruber, BSc (BD Stmk).

## 2. Erneuerung des MDM-Push-Zertifikats

Das MDM-Push-Zertifikat ist für die Verbindung der im ASM registrierten iPads mit der MDM-Verwaltung in Intune verantwortlich.

<p class="callout danger">Dieses Zertifikat darf nur erneuert und nicht ersetzt werden. Wird ein neues Zertifikat erstellt, so verliert Intune die Verbindung zu den bereits registrierten Geräten. In diesem Fall müssen alle Geräte komplett zurückgesetzt und neu eingerichtet werden.</p>

Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.

Anmeldung in Intune mit einem Administratorkonto: Geräte - Registrierung - Apple - Apple-MDM-Push-Zertifikat

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/9lIimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/9lIimage.png)

CSR herunterladen

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/OUiimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/OUiimage.png)

Im eingestellten oder angegebenen Downloadverzeichnis befindet sich nun die Datei "IntuneCSR.csr".

Eigenes MDM-Push-Zertifikat erstellen

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/bZHimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/bZHimage.png)

Auf der sich öffnenden Webseite mit der ursprünglich verwendeten Apple-ID anmelden:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/iZfimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/iZfimage.png)

Beim bestehenden Zertifikat "Renew" auswählen:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/r6Ximage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/r6Ximage.png)

Über "Datei auswählen" die gespeicherte IntuneCSR.csr suchen und auswählen:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/rXUimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/rXUimage.png)

... und auf "Upload" klicken:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/FB8image.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/FB8image.png)

Nun das erstellte MDM-Zertifikat via "Download" herunterladen.

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/enZimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/enZimage.png)

Im eingestellten oder angegebenen Downloadverzeichnis befindet sich nun die Datei "MDM\_ Microsoft Corporation\_Certificate.pem".

Diese Datei nun in Intune im geöffneten Dialog unter Angabe der korrekten Apple-ID angeben und hochladen.

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/pVGimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/pVGimage.png)

Abschließend kann das Fenster nun geschlossen werden.

## 3. Erneuerung des "Token für Registrierungsprogramm"

Der Token für Registrierungsprogramm ist für die Einrichtung der im ASM registrierten iPads mit der MDM-Verwaltung in Intune verantwortlich. Über diesen Token können die entsprechenden Registrierungsprofile zugeordnet werden.

<p class="callout danger">Dieses Zertifikat sollte nur erneuert und nicht ersetzt werden. Wird ein neues Zertifikat erstellt, so verliert das jeweilige Registrierungsprofil die Verbindung zu den bereits eingerichteten iPads und wird nicht mehr periodisch angewendet.  
</p>

Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.

Anmeldung in Intune mit einem Administratorkonto: Geräte - Registrierung - Apple - Token für Registrierungsprogramm

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/nEeimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/nEeimage.png)

Den bestehenden Token auswählen:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/jusimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/jusimage.png)

"Token erneuern" auswählen:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/hycimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/hycimage.png)

Über den Link "Neues Token für Apple School Manager generieren" oder direkt im ASM anmelden, dabei die bisher verwendete Apple-ID verwenden:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/ed4image.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/ed4image.png)

In den Einstellungen des ASM den entsprechenden Geräteverwaltungsdienst auswählen (Hier "Endpoint Manager ...") und den "Token laden".

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/Pd5image.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/Pd5image.png)

Den folgenden Dialog mit "Token laden" bestätigen.

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/SOAimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/SOAimage.png)

Im Downloadverzeichnis wird nun der neue Token gespeichert, der Name besteht aus der Bezeichnung des Geräteverwaltungsdienstes, Datum und Uhrzeit sowie der Endung "\_smime.p7m".

In Intune kann dieser Token nun eingebunden werden:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/6RUimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/6RUimage.png)

Mit "Weiter" und "Erstellen" wird der neue Token aktiviert.

<p class="callout danger">Sobald aus dem Apple School Manager ein neuer Token heruntergeladen wird, verliert der alte Token seine Gültigkeit.</p>

## 4. Erneuerung des Apple-VPP-Token

Der Apple-VPP-Token ist für die Lizenzverwaltung der Apps zuständig, die über den Apple School Manager erworben werden.

<p class="callout danger">Im Gegensatz zum "MDM-Push-Zertifikat" und zum "Token für Registrierungsprogramm" ist es hier nicht zwingend notwendig, die gleiche Apple-ID wie bisher zu verwenden - aber natürlich empfehlenswert.</p>

Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.

Anmeldung in Intune mit einem Administratorkonto: Mandantenverwaltung - Connectors and Token

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/qaiimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/qaiimage.png)

Nun Apple-VPP-Token und den bereits bestehenden Token auswählen:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/081image.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/081image.png)

Nun erfolgt der Wechsel in den Apple School Manager. Dieser ist von der Erneuerung des "Token für Registrierungsprogramm" eventuell noch geöffnet.

Unter Einstellungen - Zahlungen und Rechnungen den bestehenden Inhaltstoken "Laden":

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/mStimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/mStimage.png)

Dieser liegt dann im Downloadverzeichnis und trägt den Namen "sToken\_for\_&lt;schule&gt;.vpptoken".

Zurück in Intune werden nun die Grundeinstellungen bearbeitet, da dort der Token definiert ist:

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/Qahimage.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/Qahimage.png)

Den neuen Token auswählen

[![image.png](https://docs.vobs.at/uploads/images/gallery/2025-12/scaled-1680-/Ng5image.png)](https://docs.vobs.at/uploads/images/gallery/2025-12/Ng5image.png)

und mit "Überprüfen und Speichern" sowie "Speichern" finalisieren.